Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
SIGNATURE SYSTEM AND METHOD FOR PRODUCING AN IDENTIFICATION DEVICE, AUTHENTICATION SYSTEM, METHOD FOR AUTHENTICATION OF A USER
Document Type and Number:
WIPO Patent Application WO/2010/063318
Kind Code:
A1
Abstract:
The object of the present invention is to provide a signature system for producing an identification device. The identification device is intended to have security mechanisms which adequately protect the private sphere of the user. A further aim is to protect the identification device against corruption. According to the invention, this object is achieved by a signature system for producing a corresponding identification device, wherein the signature system comprises: a detection device for detecting biometric data of a person; a processing device for mapping the biometric data into a first identification code and a second identification code; a database for storing the first identification code; a memory device for storing and/or mapping the second identification code onto the identification device. One major idea of the present invention is to split the diametric data between two identification codes and to store them separately from one another. This allows the secret biometric data to be reconstructed only when a person access to both identification codes. A single identification code is useless, without the respective other identification code.

Inventors:
TRUGENBERGER CARLO A (CH)
GELDENHUYS ALBERTUS (CH)
Application Number:
PCT/EP2008/066719
Publication Date:
June 10, 2010
Filing Date:
December 03, 2008
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
NOVELTY GROUP LTD (SC)
TRUGENBERGER CARLO A (CH)
GELDENHUYS ALBERTUS (CH)
International Classes:
G07C9/00; G06K9/00; H04L9/00
Domestic Patent References:
WO2001077788A22001-10-18
Foreign References:
US20030088782A12003-05-08
FR2903513A12008-01-11
US6084968A2000-07-04
Other References:
FENG HAO ET AL: "COMBINING CRYPTOGRAPHYWITH BIOMETRICS EFFECTIVELY", TECHNICAL REPORT - UNIVERSITY OF CAMBRIDGE. COMPUTER LABORATORY, XX, XX, vol. 28, no. 640, 1 July 2005 (2005-07-01), pages 1 - 17, XP009072846
LIN C-C ET AL: "Visual cryptography for gray-level images by dithering techniques", PATTERN RECOGNITION LETTERS, ELSEVIER, AMSTERDAM, NL, vol. 24, no. 1-3, 1 January 2003 (2003-01-01), pages 349 - 358, XP004391181, ISSN: 0167-8655
Attorney, Agent or Firm:
POPP, Eugen et al. (DE)
Download PDF:
Claims:
Ansprüche

1. Signatursystem zur Erzeugung einer Identifikationseinrichtung, umfassend:

- eine Erfassungseinrichtung (12) zur Erfassung von biometrischen Daten (BD) einer Person;

- eine Verarbeitungseinrichtung (14) zur Abbildung der biometrischen Daten (BD) in einen ersten Identifikationscode (BDI) und einen zweiten Identifikationscode

(BD2);

- eine Datenbank (22) zum Speichern des ersten Identifikationscodes (BDI);

- eine Speichereinrichtung (16) zum Speichern und/oder Abbilden des zweiten Identifikationscodes (BD2) auf die Identifikationseinrichtung.

2. Signatursystem nach Anspruch 1, d adurch gekennz eichnet, d aß die Verarbeitungseinrichtung (14) zur Abbildung der biometrischen Daten (BD) in einen ersten und einen zweiten Identifikationscode (BDI, BD2) eine Abbildungsfunktion (p), insbesondere zufällig, aus einer Vielzahl von

Abbildungsfunktionen (p) auswählt.

3. Signatursystem nach Anspruch 1 oder 2, insbesondere nach Anspruch 2, d adurch gekennz eichne t, d aß die Datenbank zum Speichern der Abbildungsfunktion (p) in Verbindung mit dem ersten Identifikationscode (BDI) ausgebildet ist.

4. Signatursystem nach einem der Ansprüche 1 bis 3, insbesondere nach Anspruch 2 oder 3, d a d u r c h g e k e n n z ei c h n e t , d aß die Abbildungsfunktion (p) eine Permutation umfaßt.

5. Signatursystem nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z ei c h n e t , d aß die Speichereinrichtung (16) zum Speichern des zweiten Identifikationscodes (BD2) auf einem digitalen Datenspeicher auf der Identifikationseinrichtung ausgebildet ist.

6. Signatursystem nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , d aß die Verarbeitungseinrichtung (14) die biometrischen Daten (BD) derart abbildet, dass die biometrischen Daten (BD) zu einem im wesentlichen gleichen Anteil auf den ersten und den zweiten Identifikationscode (BDI, BD2) verteilt werden.

7. Signatursystem nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z ei c h n e t , d aß die Verarbeitungseinrichtung die biometrischen Daten (BD) derart abbildet, dass der erste und der zweite Identifikationscode (BDI, BD2) zumindest teilweise disjunkte Mengen von Informationen bezüglich der biometrischen Daten (BD) enthalten.

8. Verfahren zur Erzeugung einer Identifikationseinrichtung, umfassend die Schritte: a) Erfassen mindestens eines biometrischen Merkmals in Form von biometrischen Daten (BD); b) Abbilden der biometrischen Daten (BD) auf einen ersten Identifikationscode (BDI) und einen zweiten Identifikationscode (BD2) mittels einer Abbildungsfunktion (p); c) Speichern des ersten Identifikationscodes (BDI) in einer Datenbank (22) und des zweiten Identifikationscodes (BD2) auf einer Identifikationseinrichtung, wobei der erste und der zweite Identifikationscode (BDI, BD2) zumindest teilweise disjunkte Mengen von Informationen bezüglich der biometrischen Daten (BD) enthalten.

9. Verfahren nach Anspruch 8, d a d u r c h g e k e n n z ei c h n e t , d aß die Abbildungsfunktion (p) aus einer Vielzahl von Abbildungsfunktionen (p), insbesondere zufällig, ausgewählt wird.

10. Verfahren nach Anspruch 8 oder 9, d a d u r c h g e k e n n z e i c h n e t , d aß die Abbildungsfunktion (p) eine Permutation umfaßt.

11. Verfahren nach einem der Ansprüche 8 - 10, d a d u r c h g e k e n n z ei c h n e t , d aß vor dem Schritt b) ein Komprimieren der biometrischen Daten (BD), insbesondere unter Reduktion der enthaltenen Redundanzen, vorgenommen wird.

12. Verfahren nach einem der Ansprüche 8 - 11, g e k e n n z e i c h n e t d u r c h ein Erzeugen einer Referenz (ID) zur Speicherung auf der

Identifikationseinrichtung, die eine Zuordnung des ersten Identifikationscodes zu dem zweiten, in der Datenbank gespeicherten Identifikationscode ermöglicht.

13. Authentifizierungssystem, umfassend:

- eine erste Erfassungseinrichtung (32, 32') zur Erfassung von biometrischen Ausgangsdaten (BD) einer Person;

- eine zweite Erfassungseinrichtung (36) zur Erfassung eines zweiten Identifikationscodes (BD2) auf einer Identifikationseinrichtung;

- eine Leseeinrichtung zum Auslesen eines ersten Identifikationscodes (BDI), der dem zweiten Identifikationscode (BD2) zugeordnet ist;

- eine Rekonstruktionseinrichtung (28) zur Rekonstruktion von biometrischen Vergleichsdaten (BD') aus dem ersten und zweiten Identifikationscode (BDI, BD2);

- Vergleichseinrichtung (29) zum Vergleich der Vergleichsdaten (BD') mit den Ausgangsdaten (BD), um die Person zu authentifizieren.

14. Authentifizierungssystem nach Anspruch 13, d a d u r c h g e k e n n z ei c h n e t , d aß die erste Erfassungseinrichtung (32, 32') einen Fingerabdruckscanner umfaßt.

15. Authentifizierungs System nach Anspruch 13 oder 14, d a d u r c h g e k e n n z ei c h n e t , d aß die zweite Erfassungseinrichtung (36) ein RFID-Lesegerät und/oder eine Karten- Leseeinrichtung und/oder eine Einrichtung zum Erfassen der Daten auf einem Mobiltelefon umfaßt.

16. Authentifizierungssystem nach einem der Ansprüche 13 - 15, d a d u r c h g e k e n n z ei c h n e t , d aß die erste und zweite Erfassungseinrichtung (32, 32', 36) in einer ersten Einheit (30) und die Leseeinrichtung, die Rekonstruktionseinrichtung (28) und die Vergleichseinrichtung (29) in einer zweiten Einheit (20) zusammengefaßt sind, wobei die erste und zweite Einheit über ein Netzwerk (1) miteinander verbunden sind.

17. Verfahren zur Authentifizierung eines Benutzers, umfassend die Schritte: a) Erfassung von biometrischen Ausgangsdaten (BD) eines Benutzers; b) Erfassung eines zweiten Identifikationscodes (BD2), der auf einer Identifikationseinrichtung gespeichert ist; c) Auslesen eines ersten Identifikationscodes (BDI) aus einer Datenbank (22); d) Rekonstruktion von Vergleichsdaten (BD') aus dem ersten und zweiten Identifikationscode (BDI, BD2); e) Vergleichen der Vergleichsdaten (BD') mit den Ausgangsdaten (BD), um den Benutzer zu authentifizieren.

18. Verfahren nach Anspruch 17, d a d u r c h g e k e n n z ei c h n e t , d aß der Schritt d) ein Auslesen einer Abbildungsfunktion (p) aus der Datenbank zur Rekonstruktion der Vergleichsdaten (BD') umfaßt.

19. Verfahren nach Anspruch 17 oder 18, g e k e n n z ei c h n e t d u r c h ein Übertragen der Ausgangsdaten (BD) und des zweiten Identifikationscodes (BD2) an eine geographisch entfernte Einrichtung (20) zur Durchführung der Schritte c) bis e).

20. Verfahren nach einem der Ansprüche 17 - 19, d a d u r c h g e k e n n z ei c h n e t , d aß der Schritt a) das Erfassen eines Fingerabdrucks und/oder zumindest eines Abschnitts einer Iris umfaßt.

Description:
Signatursystem und Verfahren zur Erzeugung einer Identifikationseinrichtung, Authentifizierungssystem, Verfahren zur Authentifizierung eines Benutzers

Beschreibung

Die Erfindung betrifft ein Signatursystem und Verfahren zur Erzeugung einer Identifikationseinrichtung sowie ein Authentifizierungssystem und ein Verfahren zur Authentifizierung eines Benutzers.

Biometrische Erkennungsmethoden haben in den letzten Jahren einen enormen Aufschwung erlebt. Der technologische Fortschritt erlaubt in zunehmendem Maße die rasche Messung von biologischen Charakteristika und deren Auswertung mit vertretbarem Aufwand und hoher Qualität. Der Einsatz von Biometrie ist ein vielversprechender Ansatz, das ungelöste Problem vieler Sicherheitskonzepte zu lösen. Hierbei stellt sich die globale Frage, wie man Identitäten und die dazugehörigen Rechte mit der richtigen physikalischen Person, die der Identität entspricht, verknüpfen kann. In der globalisierten Informationsgesellschaft ist die Lösung dieses Problems von zentraler Wichtigkeit. Beispielsweise können biometrische Daten bezüglich eines oder mehrerer Fingerabdrücke einer Person auf deren Personalausweis gespeichert werden, um sicherzustellen, daß der Besitzer des Personalausweises auch der Inhaber dieses ist. Durch biometrische Messungen oder Scans können Fälschungen und eine widerrechtliche Aneignung eines Personalausweises erkannt werden.

Biometrische Charakteristika werden häufig unterschieden in aktiv/passiv, verhaltens- /physiologisch basiert oder dynamisch/statisch. Zu den langfristig stabilen verhaltensbasierten Charakteristika zählen die Stimme, die Hand- oder Unterschrift, das Tippverhalten und die Gangdynamik. Langfristig stabile physiologische Charakteristika sind beispielsweise der Fingerabdruck, die Iris oder die Handgeometrie.

Als biometrische Charakteristika werden unter anderem verwendet: Körpergröße, Iris, Retina, Fingerabdruck, Gesichtsgeometrie, Handgefäßstruktur, Handgeometrie, Handlinienstruktur, Nagelbettmuster, Stimme, Unterschrift, Tippverhalten, Lippenbewegung, Gangstil, Körpergeruch und DNA.

Ein biometrisches Erkennungs System zur Authentifizierung einer Person ist aus der WO 00/74001 Al bekannt. Hier werden biometrische Daten auf einer Identifikationseinrichtung, beispielsweise einer ID-Card oder einem Personalausweis abgespeichert. Um die Authentifizierung einer Person vorzunehmen, legt diese ihre Identifikationseinrichtung vor. Die darauf gespeicherten biometrischen Daten werden von einer Erfassungseinrichtung erfaßt und mit den entsprechenden biometrischen Charakteristika der Person verglichen. Beispielsweise kann ein Iris-Scan durchgeführt und mit den gespeicherten biometrischen Daten verglichen werden.

Das Identifizierungsverfahren der Person und somit deren Authentifizierung gilt nur dann als erfolgreich abgeschlossen, wenn die biometrischen Charakteristika der Person mit den gespeicherten biometrischen Daten übereinstimmen. Ein Nachteil dieses Verfahrens besteht darin, daß der Speicher auf der Identifikationseinrichtung nicht abschließend gegen eine Fälschung abgesichert werden kann. Theoretisch ist es möglich, die Daten derart zu verfälschen, daß sich ein Dritter mit diesen Daten authentifizieren kann.

Des weiteren dürfen die biometrischen Daten aus datenschutzrechtlichen Gründen in verschiedenen Ländern weder vervielfältigt noch zwischengespeichert werden. Ein Grund hierfür besteht darin, daß sich aus unterschiedlichen biometrischen Daten Informationen über Personen ableiten lassen, die deren Privatsphäre unterliegen (beispielsweise Krankheiten).

Ausgehend von diesem Stand der Technik ist es Aufgabe der vorliegenden Erfindung, ein verbessertes Signatursystem zur Erzeugung einer Identifikationseinrichtung bereit zu stellen. Insbesondere soll ein Signatursystem bereit gestellt werden, das einen sehr hohen Datenschutz gewährleistet und eine sichere Authentifizierung einer Person ermöglicht. Des weiteren soll ein entsprechendes Verfahren zur Erzeugung der Identifikationseinrichtung und ein entsprechendes Authentifizierungssystem sowie ein Verfahren zur Authentifizierung eines Benutzers angegeben werden.

Diese Aufgabe wird erfindungsgemäß durch ein Signatursystem und ein Verfahren zur

Erzeugung einer Identifikationseinrichtung sowie durch ein Authentifizierungssystem und ein Verfahren zur Authentifizierung eines Benutzers gemäß dem Anspruch 1 bzw. 8 bzw. 13 bzw. 17 gelöst.

Insbesondere wird die Aufgabe durch ein Signatursystem zur Erzeugung einer Identifikationseinrichtung gelöst, wobei das Signatursystem umfaßt:

eine Erfassungseinrichtung zur Erfassung von biometrischen Daten einer Person; eine Verarbeitungseinrichtung zur Abbildung der biometrischen Daten in oder auf einen ersten Identifikationscode und einen zweiten Identifikationscode; eine Datenbank zum Speichern des ersten Identifikationscodes; eine Speichereinrichtung zum Speichern und/oder Abbilden des zweiten Identifikationscodes auf die Identifikationseinrichtung.

Eine Schwachstelle der bekannten Signatursysteme besteht darin, daß die biometrischen Daten zur Authentifizierung eines Benutzers von dem jeweiligen Benutzer besessen werden. D.h. der Benutzer hat üblicherweise unmittelbar Verfügungsgewalt über die Identifikationseinrichtung (z.B. den Personalausweis), auf dem die entsprechenden Daten zur Authentifizierung gespeichert sind. Somit ist es möglich, diese zu fälschen. Des weite- ren können die Daten gestohlen werden oder verloren gehen.

Ein wesentlicher Gedanke der vorliegenden Erfindung besteht darin, die biometrischen Daten, die zur Authentifizierung notwendig sind, in einen ersten Identifikationscode und einen zweiten Identifikationscode aufzuteilen und an geographisch voneinander getrenn- ten Orten zu speichern. So kann der erste Identifikationscode auf einer Datenbank, insbesondere auf einer zentralen Datenbank gespeichert werden, während der zweite Identifikationscode auf einer insbesondere tragbaren Identifikationseinrichtung, z.B. einer Magnetkarte, hinterlegt wird. Eine Authentifizierung ist nur dann möglich, wenn auf beide Identifikationscodes zugegriffen werden kann. Somit ist das Fälschen oder Ent- wenden der Identifikationseinrichtung nutzlos, da wesentliche Informationen in dem ersten Identifikationscode gespeichert sind. Mit einem teilweise gefälschten zweiten Identifikationscode läßt sich keine positive Authentifizierung durchführen. Des weiteren kann der erste Identifikationscode problemlos zentral gespeichert und elektronisch übermittelt werden, ohne daß hierdurch ein Eingriff in die Privatsphäre des Benutzers des Signatursystems möglich wäre. Die eigentlichen biometrischen Daten lassen sich nur beim Vorliegen des ersten und des zweiten Identifikationscodes rekonstruieren.

Die Verarbeitungseinrichtung kann zur Abbildung der biometrischen Daten in einen ersten und einen zweiten Identifikationscode eine Abbildungsfunktion, insbesondere zufällig, aus einer Vielzahl von Abbildungsfunktionen auswählen. Um das Signatursystem gegen jegliche Art von Fälschung abzusichern, können unterschiedliche Abbildungsfunk- tionen zum Aufteilen der biometrischen Daten in den ersten Identifikationscode und den zweiten Identifikationscode vorgesehen sein. Sollte es bei einem Angriff möglich werden, für eine bestimmte Identifikationseinrichtung die entsprechende Abbildungsfunktion zu rekonstruieren, so hilft dies nicht, weitere Abbildungsfunktionen für weitere Identifikati- onseinrichtungen zu entschlüsseln. Vorzugsweise werden die Abbildungsfunktionen zufällig einer bestimmten Identifikationseinrichtung bzw. einem bestimmten biometrischen Datensatz zugeordnet.

Die Datenbank kann zum Speichern der Abbildungsfunktion in Verbindung mit dem ersten Identifikationscode ausgebildet sein. Es ist möglich, Abbildungsfunktion und Identifikationscode in einem Datensatz zu speichern.

Die Abbildungsfunktion kann eine Permutation umfassen. Vorzugsweise handelt es sich bei der Abbildungsfunktion um eine bijektive Abbildung, da so die effiziente Verschlüs- seiung der biometrischen Daten in die Identifikationscodes und deren Entschlüsselung gewährleistet werden kann.

Die Speichereinrichtung kann zum Speichern des zweiten Identifikationscodes auf einem digitalen Datenspeicher (z.B. auf einem RFID-Tag, einem per Bluetooth zugänglichen digitalen Datenspeicher, einem Magnetstreifen, einer Chipkarte) auf der Identifikationseinrichtung ausgebildet sein. Es ist zwar denkbar, den zweiten Identifikationscode graphisch, beispielsweise als Barcode 2D- oder 3D-Matrix abzubilden. Vorzugsweise werden jedoch digital lesbare Speicher, z.B. Halbleiterspeicher, verwendet. Auch können die vorhandenen digitalen Speicher in Mobiltelefonen oder anderen mobilen Geräten (mobile devices) genutzt werden, um den zweiten Identifikationscode zu speichern. Die Verarbeitungseinrichtung kann die biometrischen Daten derart abbilden, daß der erste und der zweite Identifikationscode zumindest teilweise disjunkte Mengen von Informationen bezüglich der biometrischen Daten enthalten. Erfindungsgemäß soll eine Rekonstruktion der biometrischen Ausgangsdaten nur dann möglich sein, wenn beide Identifikationscodes vorliegen. Vorzugsweise werden die biometrischen Daten im wesentlichen gleichmäßig auf den ersten und den zweiten Identifikationscode verteilt. Somit ist es auch unter Berücksichtigung verschiedener Randinformationen nicht möglich, die biometrischen Daten anhand eines der Identifikationscodes zu rekonstruieren.

Die genannte Aufgabe wird des weiteren durch ein Verfahren zur Erzeugung einer Identifikationseinrichtung gelöst, wobei das Verfahren die Schritte umfaßt:

Erfassen mindestens eines biometrischen Merkmals in Form von biometrischen Daten; - Abbilden der biometrischen Daten auf einen ersten Identifikationscode und einen zweiten Identifikationscode mittels einer Abbildungsfunktion; Speichern des ersten Identifikationscodes in einer Datenbank und des zweiten Identifikationscodes auf einer Identifikationseinrichtung, wobei der erste und der zweite Identifikationscode zumindest teilweise disjunkte Mengen von Informationen bezüglich der biometrischen Daten enthalten.

Auch bei diesem Verfahren werden die Informationen bezüglich der erfaßten biometrischen Daten auf zwei Identifikationscodes verteilt, wobei eine Rekonstruktion der biometrischen Daten nur dann möglich sein soll, wenn beide Identifikationscodes zugänglich sind. Der erste Identifikationscode wird vorzugsweise auf einer zentralen Datenbank gespeichert, während der zweite Identifikationscode auf einer tragbaren Identifikationseinrichtung hinterlegt wird.

Auch hier können eine Vielzahl von Abbildungsfunktionen verwendet werden, um die einzelnen biometrischen Daten auf die Identifikationscodes abzubilden. Beispielsweise kann eine Permutation als Abbildungsfunktion herangezogen werden. Die Abbildung sollte vorzugsweise nach einem zufälligen Schema erfolgen, so daß für jeden biometrischen Datensatz eine individuelle Abbildungsfunktion bereitgestellt werden kann.

Die biometrischen Daten sollten zu einem im wesentlichen gleichen Anteil auf den ersten und zweiten Identifikationscode verteilt werden. Bei einer bitweisen Codierung der biometrischen Daten 50 % der Bits in dem ersten Identifikationscode und 50 % der Bits in dem zweiten Identifikationscode gespeichert.

Es ist jedoch auch denkbar, starke Variationen zuzulassen, um die Ressourcen, z. B. die Speicherressourcen auf der Identifikationseinrichtung zu schonen und/oder den

Bedienerkomfort zu erhöhen. So ist eine stark asymmetrische Abbildung möglich, bei der nur wenige Bits oder Bytes der biometrischen Daten auf den zweiten Identifikationscode abgebildet werden. So kann der zweite Identifikationscode so gestaltet werden, dass er zur Identifikation einer Person manuell einfach eingebbar ist. Beispielsweise kann es sich hierbei um einen Hexadezimal- oder Dezimalcode handeln der vorzugsweise weniger als 20 Stellen, insbesondere weniger als 17 Stellen hat. Beispielsweise kann ein 16-stelliger Dezimalcode wie auf einer Kreditkarte verwendet werden, der maschinell ausgelesen und/oder manuell eingegeben werden kann.

Des weiteren ist es möglich, eine gewisse Redundanz zwischen den auf dem ersten und dem zweiten Identifikationscode gespeicherten Informationen zuzulassen, um beispielsweise Fehler korrigieren zu können.

Das Verfahren kann ein Erzeugen einer Referenz zur Speicherung auf der Identifikations- einrichtung umfassen, die eine Zuordnung des ersten Identifikationscodes zu dem zweiten, in der Datenbank gespeicherten Identifikationscode ermöglicht. Man kann also eine Referenz oder eine Identifikationsnummer oder Identifizierungsnummer generieren, die sowohl auf der Identifikationseinrichtung wie auch in der Datenbank gespeichert wird. Diese Identifikationsnummer ermöglicht es, eine bestimmte Identifikations einrichtung bzw. einen bestimmten zweiten Identifikationscode einem bestimmten ersten Identifikationscode und/oder einer bestimmten Abbildungsfunktion zuzuordnen.

Die genannte Aufgabe wird des weiteren durch ein Au thentifizierungs System gelöst, das umfaßt:

eine erste Erfassungs einrichtung zur Erfassung von biometrischen Ausgangsdaten einer Person; eine zweite Erfassungs einrichtung zur Erfassung eines zweiten Identifikationscodes auf einer Identifikationseinrichtung; - eine Leseeinrichtung zum Auslesen eines ersten Identifikationscodes (BDI), der dem zweiten Identifikationscode zugeordnet ist; eine Rekonstruktionseinrichtung zur Rekonstruktion von biometrischen Vergleichsdaten aus dem ersten und zweiten Identifikationscode; Vergleichseinrichtung zum Vergleich der Vergleichsdaten mit den Ausgangsdaten, um die Person zu authentifizieren.

Das erfindungsgemäße Authentifizierungs System ermöglicht es, den erfindungsgemäß generierten ersten Identifikationscode zu verwenden, um eine Person oder einen Benutzer zu authentifizieren. Hierbei werden der erste Identifikationscode und der zweite Identifikationscode derart rekonstruiert, daß sich biometrische Vergleichsdaten ergeben. Diese biometrischen Vergleichsdaten können biometrischen Daten entsprechen, die zu einem vorhergehenden Zeitpunkt beispielsweise mit dem oben beschriebenen Signatursystem erfaßt wurden. In der Vergleichs einrichtung werden diese Vergleichsdaten mit den aktuell erfaßten Ausgangsdaten verglichen, wobei eine positive Authentifizierung vorliegt, wenn die Vergleichsdaten im wesentlichen mit den aktuell erfaßten Ausgangsdaten übereinstimmen.

Die erste Erfassungs einrichtung kann einen Fingerabdruckscanner umfassen.

Die zweite Erfassungs einrichtung kann ein RFID-Lesegerät und/oder eine Kartenieseeinrichtung umfassen. Alternativ kann eine Leseeinrichtung verwendet werden, die es ermöglicht, Daten aus einem mobilen Gerät, z.B. einem Mobiltelefon auszulesen.

Die erste und zweite Erfassungseinrichtung kann in einer ersten Einheit und die Leseeinrichtung, die Rekonstruktionseinrichtung und die Vergleichseinrichtung in einer zweiten Einheit zusammengefaßt sein, wobei die erste und die zweite Einheit über ein Netzwerk miteinander verbunden sind. Es ist vorteilhaft, die genannten Komponenten des Authen- tifizierungssystems in geographisch voneinander getrennten Einheiten zusammenzufassen. Hierdurch ist es möglich, eine Vielzahl von ersten und zweiten Erfassungseinrichtungen mit einer einzigen zentralen Datenbank zu betreiben. Diese zentrale Datenbank kann besonders abgesichert werden, so daß ein unerwünschter Zugriff auf diese unter- bunden werden kann. Ein Diebstahl oder Ausspionieren der Daten aus der zentralen

Datenbank, insbesondere eines ersten Identifikationscodes wäre aber auch so unnütz, da eine Rekonstruktion ohne den ergänzenden Teil, nämlich den zweiten Identifikationscode nicht möglich ist.

Die Aufgabe wird des weiteren durch ein Verfahren zur Authentifizierung eines Benutzers gelöst, das die folgenden Schritte umfaßt: a) Erfassung von biometrischen Ausgangsdaten eines Benutzers; b) Erfassung eines zweiten Identifikationscodes, der auf einer Identifikationseinrichtung gespeichert ist; c) Auslesen eines ersten Identifikationscodes aus einer Datenbank; d) Rekonstruktion von Vergleichsdaten aus dem ersten und zweiten Identifikationscode; e) Vergleichen der Vergleichsdaten mit den Ausgangsdaten, um den Benutzer zu authentifizieren.

Weitere vorteilhafte Ausführungsformen ergeben sich anhand der Unteransprüche.

Das Verfahren zur Authentifizierung weist ähnliche oder gleiche Vorteile auf wie das bereits beschriebene Authentifizierungssystem.

Nachfolgend wird die Erfindung anhand von einigen Ausführungsbeispielen beschrieben, die mittels Abbildungen näher erläutert werden. Hierbei zeigen:

Fig. 1 einen Signaturgenerator, eine Authentifizierungsvorrichtung und eine

Zentraleinheit, die durch ein Netzwerk verbunden sind;

Fig. 2 einen schematischen Aufbau des Signaturgenerators;

Fig. 3 einen schematischen Aufbau der Zentraleinheit;

Fig. 4 einen schematischen Aufbau der Authentifizierungsvorrichtung;

Fig. 5 eine schematisierte Abbildung von biometrischen Daten auf einen ersten und einen zweiten Identifikationscode;

Fig. 6 eine schematische Darstellung der Rekonstruktion von biometrischen Vergleichsdaten aus dem ersten und zweiten Identifikationscode; und

Fig. 7 eine schematische Darstellung eines Datensatzes mit einem ersten

Identifikationscode.

In der nachfolgenden Beschreibung werden für gleiche und gleich wirkende Teile dieselben Bezugsziffern verwendet. Das erfindungsgemäße System läßt sich in drei physikalische Einheiten unterteilen, nämlich einen Signaturgenerator 10 zur Erzeugung einer Identifikationseinrichtung, eine Au- thentifizierungsvorrichtung 30 zur Abfrage von Authentifizierungsdaten eines Benutzers und eine Zentraleinheit 20 zum zentralen Speichern von Authentifizierungsinformationen und zur zentralen Verarbeitung der Authentifizierungsdaten. Diese physikalischen Einheiten sind, wie in Fig. 1 gezeigt, über ein Netzwerk 1 miteinander verbunden und können Daten über dieses Netzwerk 1 austauschen.

Logisch unterteilt sich das System in ein Signatursystem zur Herstellung bzw. Erzeugung der Identifikationseinrichtung und ein Authentifizierungssystem zur Authentifizierung eines Benutzers. Physikalische Teilkomponenten des Signatursystems sind sowohl in dem Signaturgenerator 10 als auch in der Zentraleinheit 20 enthalten. Die physikalischen Teilkomponenten des Authentifizierungssystems befinden sich in der Authentifizierungsvor- richtung 30 und der Zentraleinheit 20.

Die Fig. 2 zeigt den Detailaufbau des Signaturgenerators 10. Dieser umfaßt eine Verarbeitungseinrichtung 14, einen Irisscanner 12, eine Karten-Lese-Schreibeinrichtung 16 und eine Kommunikationseinrichtung 17 zur Kommunikation auf dem Netzwerk 1. Die ein- zelnen Einrichtungen des Signaturgenerators 10 stehen über einen internen Bus miteinander in kommunikativer Verbindung.

Die Zentraleinheit 20 (vgl. Fig. 3) beinhaltet unter anderem eine Datenbank 22, eine Verarbeitungseinrichtung 24, einen Zufallsgenerator 23 und eine Kommunikationseinrichtung 27 zur Kommunikation auf dem Netzwerk 1. Die

Verarbeitungseinrichtung 24 umfaßt eine Rekonstruktionseinrichtung 28 und eine Vergleichs einrichtung 29. Zur Erzeugung einer individuellen Identifikationseinrichtung, z.B. einer ID-Card oder eines Personalausweises, werden charakteristische biometrische Daten einer Person mittels des Irisscanners 12 des Signaturgenerators 10 erfaßt. Diese charakteristischen Daten stellen Ausgangsdaten BD (vgl. Fig. 5) dar, die mittels einer Abbildungsfunktion p in einen ersten Identifikationscode BDI und einen zweiten Identifikationscode BD2 aufgeteilt werden. Es ist möglich, einzelne Bits der Ausgangsdaten BD zufällig auf den ersten und zweiten Identifikationscode BDI, BD2 zu verteilen. Der erste Identifikationscode BDI wird mittels der Kom- munikations einrichtung 17 an die Zentraleinheit 20 übermittelt und dort in der Datenbank 22 abgelegt. Des weiteren wird die Abbildungsfunktion p an die Zentraleinheit 20 übertragen und dort in der Datenbank 22 gespeichert. Es ist möglich, des weiteren eine Identifizierungsnummer ID zu generieren, die ebenfalls in der Datenbank 22 gespeichert wird. Ein erfindungsgemäßer Datenbanksatz kann also folgende Felder umfassen (vgl. Fig. 7): Die Identifikationsnummer oder Identifizierungsnummer ID, den Identifikationscode BDI und die Abbildungsfunktion p.

Der zweite Identifikationscode BD2 wird zusammen mit der Identifizierungsnummer ID mittels der Karten-Lese-Schreibeinrichtung 16 des Signaturgenerators 10 auf einer individuellen Identifikationseinrichtung des Benutzers gespeichert. Es ist auch möglich, die Identifizierungsnummer ID und/oder den zweiten Identifikationscode BD2 mittels eines Druckers auf der Identifikationseinrichtung abzubilden. Mittels der Identifizierungsnummer ID ist es möglich, die zueinander gehörenden Identifikationscodes BDI, BD2 einander zuzuordnen. In einem konkreten Ausführungsbeispiel der vorliegenden Erfindung wird mittels des Irisscanners 12 ein Bild mit 1000 Pixel der Iris des Benutzers erfaßt. Je ein Pixel ist mit einem 1 Byte Grauwert codiert. Es ergibt sich also ein 1000 Byte großes Abbild der Iris. Dieses Abbild kann als die Ausgangsdaten BD angesehen werden. Diese 1000 Byte von Ausgangsdaten BD werden zu gleichen Teilen auf den ersten Identifikationscode BDI und den zweiten Identifikationscode BD2 verteilt. Der erste und zweite Identifikationscode BDI, BD2 hat also jeweils 500 Byte. Durch die gleichmäßige Aufteilung der Daten auf den ersten und den zweiten Identifikationscode ist eine Rekon- struktion des Irisabbilds nur dann möglich, wenn die Informationen beider Identifikationscodes bereit stehen. Durch das Speichern der Identifizierungscodes BDI, BD2, der Abbildungsfunktion p und der Identifizierungsnummer ID wurde eine erfindungsgemäße Identifikationseinrichtung erzeugt.

Die Authentifizierungsvorrichtung 30 umfaßt wie in Fig. 4 gezeigt einen Irisscanner 32, eine Verarbeitungseinrichtung 34, eine Kartenieseeinrichtung 36 und eine Kommunikationseinrichtung 37. Bei einer erfindungsgemäßen Authentifizierung eines Benutzers legt dieser seine Identifikationseinrichtung, z.B. seine ID-Card, in die Kartenieseeinrichtung 36 der Authentifizierungsvorrichtung 30 ein. Die Verarbeitungseinrichtung 34 erfaßt die dort gespeicherte Identifizierungsnummer ID und den zweiten Identifikationscode BD2. Des weiteren wird die Iris des Benutzers vor dem Irisscanner 32 der Authentifizierungsvorrichtung 30 positioniert. Es wird ein Abbild der Iris erfaßt. Dieses Abbild bildet die Ausgangsdaten BD. Die Verarbeitungseinrichtung 34 der Authentifizierungsvorrichtung 30 überträgt die Ausgangsdaten BD, den zweiten Identifikationscode BD2 und die Identi- fizierungsnummer ID an die Zentraleinheit 20 mittels der Kommunikations einrichtung 37. Die Zentraleinheit 20 empfängt diese Daten und bestimmt anhand der Identifizierungsnummer ID den zugehörigen Datensatz in der Datenbank 22 und liest den zugehö- rigen ersten Identifikationscode BDI und die entsprechende Abbildungsfunktion p aus. Die Rekonstruktionseinrichtung 28 generiert aus den Identifikationscodes BDI, BD2 Vergleichsdaten BD'.

Das Generieren der Vergleichsdaten BD' kann wie in Fig. 6 gezeigt durch ein Verketten des ersten Identifikationscodes BDI mit dem zweiten Identifikationscode BD2 erfolgen, wobei die inverse Abbildungsfunktion p 1 auf die Verkettung angewandt wird.

Nach der Erzeugung der Vergleichsdaten BD' werden diese durch die Vergleichseinrich- tung 29 mit den Ausgangsdaten BD verglichen. Soweit eine Übereinstimmung zwischen den Vergleichsdaten BD' und den Ausgangsdaten BD vorliegt, wird eine entsprechende Nachricht an die Authentifizierungsvorrichtung 30 ausgegeben. Die Authentifizierungs- vorrichtung 30 zeigt an, daß der Benutzer und die Identifikationseinrichtung zueinander gehören.

Soweit es sich bei der Authentifizierungsvorrichtung 30 um ein Zugangssystem zu einem bestimmten Gelände handelt, kann dem Benutzer nun Zugang zu dem Gelände gewährt werden.

Vorab wurde ein Authentifizierungsverfahren und ein Verfahren zur Erzeugung einer

Identifikationseinrichtung beschrieben, bei dem die Ausgangsdaten mit einer Bitlänge von 2*m in jeweils zwei gleich große Identifikationscodes BDI, BD2 mit einer Bitlänge l*m aufgeteilt wurden. Es ist jedoch auch denkbar, Identifikationscodes BDI, BD2 mit einer Bitlänge von 2*m abzuspeichern, wobei zur Erzeugung des ersten Identifikationscodes verschiedene Bits in dem Ausgangsdatensatz ausgesucht werden und in den ersten Identifikationscode BDI kopiert werden. Die verbleibenden Bits der Ausgangsdaten BD werden dann in den zweiten Identifikationscode BD2 übernommen. Soweit bei der Initialisierung dieses Verfahrens sämtliche Bits in den Identifikationscodes auf Null gesetzt waren, lassen sich die Vergleichsdaten BD' durch eine O R- Verknüpfung rekonstruieren. Eine Speicherung der Abbildungsfunktion p oder der inversen Abbildungsfunktion p 1 kann in diesem Fall unterbleiben. Dem Fachmann sollten zahlreiche weitere Variationen bekannt sein, die Ausgangsdaten BD auf die Identifikationscodes BDI, BD2 abzubilden. Es ist vorteilhaft, wenn bei der Abbildung die ursprüngliche Reihenfolge der Ausgangsdaten BD zerstört wird. Eine zufällige Permutation der Ausgangsdaten BD ist hierfür geeignet. Es ist auch denkbar, die biometrischen Daten bzw. Ausgangsdaten BD vor oder nach der Abbildung zu verschlüsseln und nach bzw. vor der Rekonstruktion zu entschlüsseln. Die Sicherheit für den Benutzer kann durch einen entsprechenden Verschlüsselungsalgorithmus erhöht werden.

Es ist ebenfalls möglich, die biometrischen Daten, z.B. den Fingerabdruck mittels eines verlustbehafteten Verfahrens zu komprimieren. Gängige Kompressionsverfahren, z.B. die gemäß dem JPEG-Standard reduzieren die zur Speicherung notwendigen Datenmengen durch ein Weglassen von Redundanzen und/oder ein weglassen von vorzugsweise nicht wahrnehmbaren Informationen. Wählt man als Ausgangsdaten BD für die Erzeugung des ersten und zweiten Identifikationscodes BDI, BD2 einen komprimierten, insbesondere stark komprimierten Datensatz so können Speicherressourcen gespart werden. Des weiteren bedarf es nur der Herausnahme weniger Bits oder Bytes, um die Rekonstruktion des ursprünglichen biometrischen Bilds unmöglich zu machen. Es kann also eine stark asymmetrische Abbildungsfunktion p verwendet werden, um die Ausgangsdaten BD in die Identifikationscodes BDI, BD2 abzubilden. Beispielweise kann, unter Verwendung einer geeigneten Kompression, das Abbild eines Fingers in einer Datei mit 256 Bytes ausreichend genau dargestellt werden. Entnimmt man dieser Datei ca. 7 Bytes ist eine Rekonstruktion auf Grund der hohen Informationsdichte nicht mehr möglich. Somit kann der zweite Identifikationscode BD2 ca. 7 Bytes umfassen, während der erste

Identifikationscode BDI ca. 249 Bytes aufweist. Der zweite Identifikationscode kann bei der geeigneten Wahl einer Abbildungsfunktion p oder bei einer nachträglichen Transformation eine 16-stellige Dezimalnummer oder Dezimalcode mit ca. 53 Bits sein.

Eine erfindungsgemäße Abbildung der Ausgangsdaten BD auf die Identifikationscodes BDI, BD2 kann also ein Komprimieren der Ausgangdaten BD, gefolgt von einem Aufteilen auf die Identifikationscodes BDI, BD2 umfassen.

Erfindungsgemäß ist es vorgesehen, die erfaßten Ausgangsdaten BD und die Vergleichs- daten BD' unmittelbar nach der Authentifizierung eines Benutzers zu löschen. Somit kann ein effizienter Datenschutz gewährleistet werden. Natürlich werden die Daten auf der Datenbank 22 nicht gelöscht.

In dem vorab beschriebenen Ausführungsbeispiel wurden der erste Identifikationscode BDI und der zweite Identifikationscode BD2 durch den Signaturgenerator 10 erzeugt. Es sind jedoch auch Konstellationen denkbar, bei denen zur Erzeugung der Identifikationseinrichtung die Ausgangsdaten BD an die Zentraleinheit 20 übermittelt werden, um dort die Identifikationscodes BDI, BD2 zu erzeugen. Beispielsweise kann hierfür ein Zufallsgenerator 23 vorgesehen sein, der eine entsprechende Abbildungsfunktion p aus einer Vielzahl von Abbildungsfunktionen auswählt.

Des weiteren kann die Authentifizierung bzw. die Generierung der Vergleichsdaten BD' und der Vergleich der Vergleichsdaten BD' mit den Ausgangsdaten BD auch auf der Seite der Authentifizierungsvorrichtung 30 erfolgen. Hierfür müssen der erste Identifikationscode BDI und die Abbildungsfunktion p an die Authentifizierungsvorrichtung 30 übertragen werden.

In dem vorab beschriebenen Ausführungsbeispiel wurden die biometrischen Daten durch einen Irisscanner 32 erfaßt. Es ist jedoch auch möglich, entsprechende biometrische Daten mittels eines Fingerabdruckscanners 32' zu erfassen und zur Authentifizierung heranzuziehen.

Vorab wurden ein einziger Signaturgenerator 10 und eine einzige Authentifizierungsvorrichtung 30 beschrieben, die mit der Zentraleinheit 20 in Verbindung stehen. Es ist möglich, eine Vielzahl von Signaturgeneratoren 10 und Authentifizierungsvorrichtungen 30 mit einer oder mehreren Zentraleinheiten 20 zu betreiben. Des weiteren kann der Signaturgenerator 10 und die Authentifizierungsvorrichtung 30 in einer Einrichtung zusammengefaßt werden.

Vorab wurden Ausführungsbeispiele beschrieben, bei denen die Datenbank wesentliche Daten zur Authentifizierung oder Identifizierung eines Benutzers enthält. Es ist jedoch auch möglich weitere Daten auf der Datenbank zu speichern. Beispielsweise können hier eine oder mehrere Kreditkartennummern, eine oder mehrere Mitgliedsnummern (z.B. von einem Automobilclub), eine oder mehrere Passwörter, Pincodes und/oder sonstige Informationen hinterlegt werden. Die Beschriebene Identifikationseinrichtung kann dann als zentrale Identifikationseinrichtung einer Person verwendet werden, die den Zugang zu den weiteren Daten ermöglicht. Beispielsweise kann das Vorzeigen oder Einlesen einer Kreditkarte in einem Geschäft dadurch ersetzt werden, dass die erfindungsgemäße Identifikationseinrichtung erfasst und die Authentifizierung gegenüber einer Kreditkartenfirma von der Zentraleinheit 20 übernommen wird. Hierbei können nach einer Authentifizierung anhand des erfindungsgemäßen Verfahrens gegenüber der Zentraleinheit 20 Daten zwischen der Zentraleinheit 20 und der Kreditkartenfirma ausgetauscht werden. Der Benutzer muss keine weiteren Eingaben oder Handlungen vornehmen. Bezugszeichen:

1 Netzwerk 10 Signaturgenerator

12 Irisscanner

14 Verarbeitungseinrichtung

16 Karten-Lese-Schreibeinrichtung

17 Kommunikationseinrichtung 20 Zentraleinheit

22 Datenbank

23 Zufallsgenerator

24 Verarbeitungseinrichtung

27 Kommunikationseinrichtung 28 Rekonstruktionseinrichtung

29 Vergleichseinrichtung

30 Authentifizierungsvorrichtung 32 Irisscanner

32' Fingerabdruckscanner 34 Verarbeitungseinrichtung

36 Karten-Leseeinrichtung

37 Kommunikationseinrichtung BD Ausgangsdaten

BDI, BD2 Identifikationscode BD' Vergleichsdaten p, p 1 Abbildungsfunktion

ID Identifizierungsnummer